Immer noch werden sehr oft Sicherheit-Plugins für WordPress als das „Rundum-Sorglos-Paket“ empfohlen, um die Website mit WordPress sicher zu machen. In diesem Artikel werden wir ausführlich zeigen, wie gering der Schutz solcher Plugins im realen Einsatz wirklich ist, welches trügerische Sicherheitsgefühl damit vermittelt wird und welche Probleme sich gleichzeitig mit solchen Plugins ergeben.
Zunächst einmal sind natürlich nicht alle Plugins generell unsicher, und einige haben auch definitiv ihre Daseinsberechtigung, doch man sollte immer im Hinterkopf haben, dass einige Lösungen mit einem Plugin am Ende der Softwarekette nicht sinnvoll und ineffektiv sind.
Softwareebenen und deren Sicherheit:
Fassen wir einmal grob zusammen, wie sich die Softwarekette aufbaut und an welcher Stelle sich ein Plugin befindet:
- Das Betriebssystem (Die meisten kennen wahrscheinlich Windows, bei Servern kommt hingegen meist Linux zum Einsatz)
- Hardwarenahe Software (Die meisten Windowsnutzer kennen dies wahrscheinlich unter dem Namen „Treiber“)
- Software allgemein, wie bspw. Office auf einem PC
- Webserver (dieser nutzt viele der übergeordneten Punkte)
- PHP (Das, was den PHP-Code von WordPress interpretiert und die Funktionen realisiert, damit es bedienbar wird)
- WordPress (sämtlicher WordPress-Quellcode einer Installation)
- Plugins (selbsterklärend, hoffe ich 😉
Angreifer und Besucher Ihrer Seite haben im idealen Fall nur sehr eingeschränkten Zugriff im Bereich 4 – 7, damit Sie die Website abrufen können. Da Plugins von WordPress und wiederum von PHP ausgeführt werden, bieten diese natürlich erst einmal die größte Angriffsfläche von außen. Daher sollten sicherheitsrelevante Funktionen möglichst in der untersten Ebene realisiert werden. Dort sind diese auch gleichzeitig am effektivsten.
Limitierungen:
- Plugins sind an das Limit von WordPress gebunden
- WordPress ist an das Limit von PHP gebunden
- PHP ist an das Limit vom Webserver gebunden
- …usw.
Eine ganze Reihe von Limitierungen, die sich damit zusammenaddieren können, oder? Richtig! Und eigentlich wollen wir doch eine mögliche Addition von möglichen Problemquellen vermeiden, oder?
Da PHP nicht zu den effizientesten Programmiersprachen gehört und alles, was mit PHP läuft, Ihre Website in der Performance (gering bis nicht mehr erreichbar) beeinflusst, ist es nicht immer sinnvoll, alles mit Plugins zu lösen, die am Ende der Softwarekette stehen. Sinnvoll ist es immer, die Probleme so früh wie möglich in der Softwarekette zu lösen, da mit steigender Anzahl an Software, wo das Problem durchgereicht wird, das Fehlerrisiko und das Sicherheitsrisiko steigt.
Beispiel:
Sie wollen doch auch nicht fremde Personen durch die Haustür und dann durch die Wohnungstür lassen, um dann festzustellen, dass diese in Ihre Wohnung eingebrochen sind, um diese dann wieder hinauszuschicken? Richtig bestimmt wollen Sie diesen so früh wie möglich den Zutritt verweigern.
Welche Features sollte ich nicht mit einem Plugin lösen?
- Schwarze Listen mit IPs
- Detaillierte Analyse der Angriffe auf Netzwerkebene
- Virenscans (unter gewissen Umständen ist eine manuelle Ausführung sinnvoll)
- Überwachung sämtlicher Lese- und Schreibprozesse auf Dateien
- Schutz vor komplexen Angriffsmethoden
Die meisten der aufgezählten Punkte sind zwar generell mit Plugins lösbar, haben aber meist in einem größerem Umfang einen negativen Einfluss auf die Performance einer Website. Daher sollte man rechenintensive Sicherheitsprozesse, wenn möglich, nicht mit Plugins lösen, sondern unabhängig von der Software von Website, Webserver und PHP.
Wann ist der Einsatz eines Plugins sinnvoll?
- Erhöhung der Passwortrichtlinien (Mindestanforderung der Passwortkomplexität)
- Verräterische Meldungen bei falschen Login-Daten ausblenden
- Ausblenden von verwendeten Software-Versionen (WordPress selbst, Plugins, Themes)
- Zusätzliche Integration von Captchas (Bilderrätsel)
- Setzen von Login-Limits (wenn serverseitig nicht realisierbar)
- Schutzmechanismen, die gezielt auf eine Komponenten von WordPress und Plugins abzielen
Anhand der Aufzählung wird ersichtlich, dass sogenannte Sicherheitsplugins für WordPress durchaus einen sinnvollen Nutzen haben. Kennt man die Grenzen dieser Plugins und auch die Probleme, die mit diesen entstehen können, kann man mit diesem Wissen ein sehr stabiles und sicheres WordPress erzielen.
Welche Risiken haben zusätzlich installierte Plugins?
Allgemein formuliert birgt jede weitere installierte Software natürlich weitere Risiken, da im Code der Software Sicherheitslücken vorhanden sein können. Natürlich heißt das nicht, dass man deshalb alles weglassen muss, sondern dass man bei der Wahl von Software und auch Plugins genauer hinschauen sollte.
Bspw. gab es schon mehrere Fälle, in denen die Security-Plugins selbst das Tor für Angriffe öffneten, u.a. „All In One WP Security & Firewall“. Daher ist eine schnelle Reaktionszeit bei den Entwicklern solcher Plugins umso wichtiger, um das Risiko für Angriffe und Hacks zu minimieren. Einige Hersteller sind diesbezüglich sehr vorbildlich und liefern entsprechende Updates bereits wenige Stunden nach Bekanntwerden der Lücken aus.
Warum ein sicheres Passwort nicht immer hilft
Ein sicheres Passwort hilft nur bedingt, denn ist das System, auf dem die Website läuft, nicht entsprechend abgesichert, ist es über diesen Weg wieder möglich, sich entsprechenden Zugang zur Website zu verschaffen.
Beispiel:
Ist bei einem Haus die Haustür relativ gut gesichert, suchen sich Einbrecher die nächste schwache Stelle, bspw. die Fenster.
Warum muss meine Website sicher sein?
Das lässt sich allgemein für alle nur sehr schwierig beantworten, allerdings will wohl jeder sich eher positiv als negativ online präsentieren. Daher haben wir mal ein paar Fragen zusammengefasst:
- Wollen Sie Viren und Würmer an Ihre Kunden verteilen und möglicherweise noch für den Schaden aufkommen?
- Wollen Sie Viagra- oder sonstige Werbung auf Ihrer Website?
- Wollen Sie, dass Daten Ihrer Nutzer von Fremden abgegriffen und missbraucht werden können? (Datenschutz)
- Wollen Sie Abmahnungen und Schadenersatzforderungen vermeiden?
- Wollen Sie sich eine teure Wiederherstellung der Website nach einem Hack sparen, verbunden damit, dass Ihre Website einige Zeit offline ist?
Eine Investition in Form der Prävention im Bereich der Sicherheit ist in den meisten Fällen wesentlich günstiger, als „wenn das Kind schon in den Brunnen gefallen ist“. Existiert bspw. keinerlei Backup, kann dies bedeuten, dass damit Ihre gesamte Website verloren ist. Klingt weit hergeholt? Leider ist das oft die traurige Wahrheit und auch kein Einzelfall.
Was erwartet mich bei einem Hack?
Vom reinen zeitlichen Aufwand und finanziellen Schaden zur Bereinigung der Website bis hin zu Schadensersatzforderungen, bspw. beim Verteilen von Viren und Würmern oder Missachten von gesetzlichen Vorgaben zum Datenschutz, ist alles möglich.
Werden solche Fälle öffentlich bzw. verteilen sich in den sozialen Medien, ist erst einmal das Vertrauen auf Kundenseite getrübt. Auch die eigene Reputation kann darunter leiden. Zusätzlich hat ein Hack meist negative Auswirkungen auf das Ranking bei Google, was in einigen Fällen einen sehr hohen Schaden bedeuten kann.
Unsere Tipps für einen optimalen Schutz:
- Einen guten Hoster auswählen, der ideal auf WordPress optimiert ist, mit einem guten Sicherheitskonzept
- SSH-Zugang für einen sicheren Zugriff zum Webspace
- Strenge bzw. sichere Dateirechte
- Lange und komplexe Passwörter mit einer Kombination aus Klein-/Großbuchstaben, Zahlen und Sonderzeichen
- Loginberech auf IP-Adresse beschränken oder mit „htaccess“-Methode den Zugang beschränken
- Regelmäßige Aktualisierungen einspielen und Datensicherungen vornehmen
- Monitoring von Zugriffen und Angriffsversuchen (hilft bei der Verbesserung und Prävention von Angriffen)
- Website/Server von Experten (bitte keine selbst ernannten Experten) betreuen lassen
- WordPress, Plugins und Themes „stumm schalten“, sodass Informationen wie z.B die Versionsnummern nicht einfach auslesbar sind
Fazit
Sicherheits-Plugins für WordPress sollten sparsam eingesetzt werden, da diese unter Umständen die Performance der Website sehr stark negativ beeinflussen können. Daher ist die richtige Konfiguration und die richtige Wahl eines solches Plugins umso wichtiger. Zusätzlich ist die richtige Wahl des Hosting-Anbieters sehr wichtig, damit eure Website auf einer sicheren Basis läuft, ansonsten hilft weder das beste Plugin noch Sonstiges.
Daher ist es sinnvoll und auch meist günstiger, präventiv zu handeln, dies erspart einem viel Zeit, Stress und Kosten. Dann kann man sich nämlich entspannt zurücklehnen sich das auf das Wesentliche konzentrieren: Das eigene Business